A técnica que você descreve é chamada arp-proxying . Consiste em ter uma interface (NIC1) respondendo a arp queries no lugar de outra interface (NIC2), que não está na mesma rede física. O computador no qual o NIC1 reside cuidará do roteamento correto de pacotes destinados ao NIC2.
É, de certa forma, o contrário do spoofing ARP: no spoofing ARP, um PC com um endereço MAC diferente finge ter o endereço IP de outra pessoa, por exemplo, o gateway, para interceptar e analisar todo o tráfego da rede. Aqui, em vez disso, um PC com um determinado endereço IP finge que tem o endereço MAC de outra pessoa.
Arp-proxying é usado principalmente para conectar VMs quando a ponte é impossível, ou para conectar PCs físicos em um fio diferente e / ou AP; na verdade, com ip_forwarding = 1
em sysctl.conf
você está permitindo o encaminhamento apenas de pacotes da Camada 3 OSI, enquanto o tráfego ARP absolutamente essencial pertence à Camada 2 OSI. Você mesmo configurou algo desse tipo, uma VM ou uma DMZ? Se não, então você pode começar a se preocupar.
O que você pode fazer para explorar mais a questão é:
-
verifique quais interfaces têm o proxy-arp habilitado; se você encontrar apenas um além de
br0
, você terá estabelecido em qual NIC 192.168.50.108 se conecta; -
estude a tabela de roteamento, para ver se uma rota alternativa para 192.168.50.108 foi estabelecida em qualquer lugar;
-
estude as interfaces do sistema, aliases ou virtuais, para ver se uma nova interface foi adicionada;
-
estude os processos em execução, para ver se um hipervisor está em execução (Xen, KVM, VMWare, VirtualBox, ....); Se o endereço pertencer a uma VM, você não precisa ver outras NICs virtuais em seu sistema, algumas delas (VirtualBox) geralmente as ocultam sem nenhuma razão maliciosa;
-
verifique se alguma conexão VPN / túnel-reverso está aberta do seu servidor para algum endereço remoto local ou (mais provável);
-
tente estabelecer se você tem um rootkit no seu servidor. rkhunter e chkrootkit são pacotes amplamente disponíveis, fazendo um trabalho decente. Não espere que eles encontrem rootkits de nível NSA, mas você não é um terrorista, certo?
Parece provável que, se você estiver lidando com uma intrusão, a pessoa tenha sido sábia o suficiente para configurar um firewall para descartar todos os pacotes (incluindo ICMP) que não pertençam a uma conexão ESTABLISHED, RELACIONADA, portanto, há pouco ou nenhuma chance de que você possa detectá-lo ... Mas, você pode detectar alguns de seus desmembramentos, se houver: procure por regras incomuns de iptables ou ebtables (na verdade, provavelmente você não deve ter ebtables configurados de forma alguma, então você terá ebtables trabalhando em seu servidor, sozinho, seria um grande desmoronamento). O tipo de regra que você deve procurar é a reescrita da fonte e / ou destino dos pacotes, mas em geral qualquer coisa que você não tenha colocado pode ser uma fonte razoável de preocupação.
Provavelmente, uma boa jogada seria habilitar o login sem senha via ssh, desabilitar o login com senha em seu servidor e qualquer outra fonte de acesso ao servidor (além do ssh, é claro), depois reinicializar o servidor sem nenhum cabo conectado. para ter certeza de que você expulsou o intruso. O login sem senha não pode ser facilmente contornado, nem mesmo conhecendo a contraparte pública de sua chave criptográfica.